Consejos de seguridad para evitar estafas y suplantación de identidad
Algo que las pequeñas y medianas empresas tienen en común con las grandes empresas es que la ciberseguridad sigue siendo un problema persistente y complejo.
Los hackers saben que las pymes son vulnerables solo por estar conectadas a Internet y que existe un mercado para monetizar los datos robados.
La prueba la encontramos en las cifras publicadas el 20 de octubre en el Informe de Ciberseguridad de la Pequeña Empresa de 2022 de Comcast Business (2022 Small Business Cybersecurity Report), que presentó un resumen de las amenazas a las que se enfrentan clientes y negocios diariamente
En los 12 meses comprendidos entre julio de 2021 y junio de 2022, el 55% de los clientes de Comcast Business experimentaron ataques tipo botnet, mientras que casi el 50% tuvieron que hacer frente a ataques de malware y suplantación de identidad. Según la actividad en Internet que monitorizaron los investigadores, las marcas financieras y de alta tecnología fueron las más atacadas por estafas de phishing, con un 41% y un 36%, respectivamente.
Los atacantes no sólo van a por a las grandes empresas. Según los informes recientes, las empresas con menos de 100 empleados tienen tres veces más probabilidades de ser objeto de un ciberataque y, sin embargo, a menudo carecen de medidas y recursos de ciberseguridad suficientes para gestionar sus riesgos.
Aun así, no todo está perdido para las pymes, a pesar de la preocupante escalada de ataques digitales. Existen estrategias que pueden utilizar, además de las plataformas de seguridad de software.
¿Por qué las PYMES son el principal objetivo del phishing
Mediante la formación de los empleados y la implantación de herramientas como programas antivirus, cortafuegos y soluciones de seguridad de red, las PYMES pueden proteger a sus empleados y clientes de la variopinta gama de amenazas a la ciberseguridad. Pero colocar un cortafuegos o conectar una plataforma de seguridad de red por sí solos no ayudan a las empresas a mantenerse a salvo.
El software de seguridad protege los dispositivos de empleados e invitados cuando se conectan a la red, escaneándolos y actualizándolos automáticamente cada X minutos para identificar nuevos riesgos, lo que simplifica a las PYMES disponer de protecciones básicas fáciles de usar.
Los ciberdelincuentes siempre están buscando formas de atacar y perturbar a las empresas. Desafortunadamente, las organizaciones pequeñas y medianas son especialmente vulnerables porque suelen carecer de los recursos y experiencia en seguridad para combatir estas amenazas.
Uno de los principales catalizadores en el aumento de los ataques contra las pymes es la suplantación de seguridad en el correo electrónico, que hoy en día es una vía común que conduce a la violación de datos y al ransomware.
El robo de credenciales suele consistir obtener los datos de los usuarios a partir de respuestas a consultas por correo electrónico que engañan a los usuarios para que hagan clic en enlaces que, a su vez, conducen a sitios web comprometidos, diseñados para parecer auténticos.
Tras esto, se puede entrar en la “Dark Web” y comprar credenciales robadas a precios muy bajos. Es muy fácil comprarlas, y no hace falta tener ninguna experiencia técnica para hacerlo.
Los ataques de phishing también pueden dañar los dispositivos o proporcionar acceso no autorizado a la red de una empresa para instalar software “bot” en los ordenadores de forma inadvertida. Una vez instalados, estos “bots” pueden controlarse a distancia o instalarse en otros ordenadores. Las redes de “bots” pueden encontrar y robar información valiosa, lanzar ataques distribuidos de denegación de servicio (DDoS) y realizar otras actividades dañinas
Educación y buenas prácticas en informática
Aunque muchas pequeñas empresas carecen de los recursos de que disfrutan las grandes empresas para defenderse de ataques, las PYMES pueden evitar convertirse en víctimas de la ciberdelincuencia siguiendo prácticas informáticas seguras y probadas.
Comencemos por evitar las vulnerabilidades que suelen aprovecharse. Independientemente del sistema operativo utilizado, todos debe recibir actualizaciones de software periódicas que parcheen las vulnerabilidades descubiertas. Dejar el sistema sin parchear es como dejar una escotilla abierta en un submarino.
Cabe añadir que las PYMES podrían eludir casi todos los ataques siguiendo dos áreas principales de la informática segura:
En primer lugar, todas las empresas, independientemente de su tamaño, deberían exigir a sus empleados y contratistas que recibieran formación sobre ciberseguridad que trate la suplantación de identidad a en el correo electrónico.
En segundo lugar, existen soluciones para todo en tecnología de ciberseguridad. Debemos encontrar los sistemas de seguridad tecnológica adecuados para analizar los correos electrónicos y los archivos adjuntos en busca de virus, malware y spam para protegerse contra la pérdida de datos.
Abrir un correo electrónico cuando se está reunido o distraído equivale a conducir mientras se envían mensajes de texto.
Para detectar la legitimidad de un correo hay que fijarse en el nombre del dominio y la dirección del remitente y detectar si se trata de un dominio que suena parecido.
Tácticas de phishing frecuentes
El “spear phishing” es especialmente útil para los ladrones digitales que buscan una forma de entrar en los ordenadores de las empresas. Haciéndose pasar por una persona de confianza o una empresa conocida, los delincuentes se dirigen a personas específicas de una empresa para intentar acceder a información que les facilite colarse en la red. Cuando dudemos de la autenticidad de un remitente, debemos coger el teléfono y llamar a la persona para confirmarlo.
Otro truco que utilizan los hackers es incrustar imágenes, logotipos o enlaces de vídeo con código oculto. Al hacer clic en el contenido, se ejecutan códigos de todo tipo que husmean en los archivos o hacen cosas peores para adquirir o destruir su contenido.
La mayoría de las plataformas de correo electrónico tienen la opción de no cargar imágenes por defecto. Esto ayuda a evitar cualquier clic curioso que pueda activar un código malicioso.
En definitiva, la educación del usuario, estar atentos en el uso de herramientas como el correo electrónico o unidades extraíbles y la correcta implementación de mecanismos de seguridad automatizados nos permite mantener a raya la mayoría de los ataques más comunes a la que se exponen las pequeñas y medianas empresas.
